Kolm veebirakenduse turvatundi, mida tuleks meeles pidada. Semalt Expert teab, kuidas vältida küberkurjategijate ohvriks langemist

Aastal 2015 avaldas Ponemoni instituut nende tehtud uuringu "Küberkuritegevuse kulud" järeldused. Ei olnud üllatav, et küberkuritegevuse kulud kasvasid. Kuid arvud jäid müttama. Küberjulgeoleku ettevõtmiste (ülemaailmne konglomeraat) projektid, mille maksumus ulatub aastas 6 triljoni dollarini. Keskmiselt kulub organisatsioonil pärast küberkuritegu tagasi põrkamiseks 31 päeva, mille heastamise kulud on umbes 639 500 dollarit.

Kas teadsite, et teenuse keelamine (DDOS-rünnakud), veebipõhised rikkumised ja pahatahtlikud siseringid moodustavad 55% kõigist küberkuritegevuse kuludest? See mitte ainult ei ohusta teie andmeid, vaid võib põhjustada ka tulude kaotuse.

Semalt Digital Services kliendi edujuht Frank Abagnale pakub võimalust kaaluda kolme järgmist 2016. aastal toime pandud rikkumisjuhtumit.

Esimene juhtum: Mossack-Fonseca (The Panama Papers)

Panama Papersi skandaal sattus tähelepanu keskpunkti 2015. aastal, kuid miljonite dokumentide tõttu, mis tuli läbi sõeluda, puhuti 2016. aastal. Leke paljastas, kuidas poliitikud, rikkad ärimehed, kuulsused ja ühiskonna creme de la creme talletasid. nende raha väliskontodel. Sageli oli see varjuline ja ületas eetilise piiri. Ehkki Mossack-Fonseca oli salajastamisele spetsialiseerunud organisatsioon, oli tema infoturbe strateegia peaaegu olematu. Alustuseks oli nende kasutatud WordPressi piltide slaidiprogramm aegunud. Teiseks kasutasid nad 3-aastast Drupali, millel olid teadaolevad haavatavused. Üllataval kombel ei lahenda organisatsiooni süsteemiadministraatorid neid probleeme kunagi.

Õppetunnid:

  • > veenduge alati, et teie CMS-platvorme, pistikprogramme ja teemasid värskendataks regulaarselt.
  • > olge kursis viimaste CMS-i turvariskidega. Joomlal, Drupalil, WordPressil ja muudel teenustel on selleks andmebaasid.
  • > kontrollige kõiki pistikprogramme enne nende rakendamist ja aktiveerimist

Teine juhtum: PayPali profiilipilt

Florian Courtial (Prantsuse tarkvarainsener) leidis PayPali uuema saidi PayPal.me CSRF-i (saididevaheliste võltsimistaotluste) haavatavuse. Ülemaailmne veebimaksete hiiglane avalikustas PayPal.me, et hõlbustada kiiremaid makseid. Siiski võiks PayPal.me'i ära kasutada. Florian suutis redigeerida ja isegi eemaldada CSRF-i tokeni, ajakohastades sellega kasutaja profiilipilti. Nagu oli, võis keegi kellegi teisena imiteerida, saades näiteks oma pildi veebist näiteks Facebookist.

Õppetunnid:

  • > kasutada kasutajate jaoks ainulaadseid CSRF-tunnuseid - need peaksid olema unikaalsed ja muutuma iga kord, kui kasutaja sisse logib.
  • > sümbool päringu kohta - muud kui ülaltoodud punkt, peaksid need märgid olema kättesaadavad ka siis, kui kasutaja neid taotleb. See pakub täiendavat kaitset.
  • > aegumine - vähendab haavatavust, kui konto jääb mõnda aega passiivseks.

Kolmas juhtum: Venemaa välisministeerium seisab silmitsi XSS-i piinlikkusega

Kui enamik veebirünnakuid on mõeldud organisatsiooni tulude, maine ja liikluse kahjustamiseks, on mõnel neist piinlik. Üks näide - häkk, mida Venemaal kunagi ei juhtunud. Nii juhtus: Ameerika häkker (hüüdnimega Jester) kasutas ära saidiülese skriptimise (XSS) haavatavust, mida ta nägi Venemaa välisministeeriumi veebisaidil. Koletis lõi mannekeeni veebisaidi, mis jäljendas ametliku veebisaidi väljavaateid, välja arvatud pealkiri, mille ta kohandas neist pilkamiseks.

Õppetunnid:

  • > puhastage HTML-i märgistus
  • > ärge sisestage andmeid enne, kui olete neid kinnitanud
  • > kasutage JavaScripti põgenemist enne, kui sisestate keele (JavaScripti) andmeväärtustesse ebausaldusväärsed andmed
  • > kaitske end DOM-i põhinevate XSS-i haavatavuste eest

send email